• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙F10000最新版本将NAT日志发送至日志主机

2025-08-27提问
  • 0关注
  • 0收藏,109浏览
粉丝:0人 关注:0人

问题描述:

如何防火墙F10000最新版本将NAT日志发送至日志主机,并在华三日志审计上看到这条日志记录

2 个回答
粉丝:9人 关注:0人

以下是最新版本Comware V7系统下的典型配置流程:


第一部分:在H3C F10000防火墙上进行配置

核心思路是:​​启用信息中心 -> 配置日志主机 -> 在NAT策略上启用日志记录​​。

步骤 1: 开启信息中心(必选)

信息中心是设备发送所有日志的总开关。默认可能是开启的,但建议确认一下。

system-view info-center enable

步骤 2: 配置日志主机(日志审计服务器)

这里需要指定日志审计系统的IP地址、使用的协议(通常为UDP)、端口号(默认514)和日志输出的格式。

system-view # 配置日志主机的IP地址、协议和端口。 # 假设您的日志审计系统IP是 192.168.1.100 info-center loghost 192.168.1.100 transport udp port 514 # (强烈建议)设置发送到日志主机的日志源格式为“unicom”,这是一种标准格式,兼容性好。 info-center source nat loghost level informational format unicom
  • loghost: 指定日志主机模式。

  • transport udp port 514: 使用UDP协议,端口514是syslog标准端口。

  • source nat: 指定NAT模块作为日志源。

  • level informational: 设置日志级别为“信息”级别,这会记录所有NAT会话建立和删除的信息。

  • format unicom: 使用一种标准的、易于解析的日志格式。

步骤 3: 在NAT策略上启用日志功能

这是最关键的一步,需要在您现有的NAT策略(如nat outboundnat server)上加上logging参数。

  • ​对于出向动态NAT(例如,内网用户上网):​

    # 进入接口视图或策略视图 interface GigabitEthernet1/0/1 # 在原有的nat outbound命令后追加logging nat outbound 3000 address-group 1 logging # 或者如果之前没有logging,可能需要先undo掉原命令再重新绑定 # undo nat outbound 3000 # nat outbound 3000 address-group 1 logging
  • ​对于静态NAT(例如,发布内网服务器):​

    # 进入接口视图 interface GigabitEthernet1/0/0 # 在原有的nat server命令后追加logging nat server protocol tcp global 202.96.1.100 80 inside 192.168.1.10 80 logging

​关键点:​​ logging关键字是让防火墙记录NAT会话生命周期(新建和删除)日志的直接指令。

步骤 4: (可选)调整信息中心参数

如果网络日志量很大,可以调整日志队列缓冲区和输出速率,防止丢包。

info-center loghost source GigabitEthernet1/0/0 # 指定发送日志的源接口 info-center max-logfile-size 2048 # 设置日志文件大小 info-center loghost rate-limit 1024 # 限制发送速率(单位:条/秒)

第二部分:在H3C日志审计系统上进行检查

防火墙配置完成后,产生NAT流量时,日志就会发出。您需要在日志审计系统上确保能正确接收和解析。

步骤 1: 确认设备管理

  1. 1.

    登录日志审计系统的Web管理界面。

  2. 2.

    进入 ​​“设备管理”​​ 或 ​​“日志源管理”​​ 菜单。

  3. 3.

    确认已添加了您的F10000防火墙作为日志源设备。填写其IP地址,并选择协议为UDP,端口为514(与防火墙配置一致)。

步骤 2: 查看实时日志

  1. 1.

    进入 ​​“日志审计”​​ -> ​​“实时日志”​​ 或 ​​“原始日志”​​ 查看界面。

  2. 2.

    在过滤条件中,选择或填写 ​​“日志源IP”​​ 为您的F10000防火墙的地址。

  3. 3.

    在搜索框里,您可以输入关键词来快速定位NAT日志,例如:

    • NAT/SESSION/CREATE: 搜索NAT会话创建的日志。

    • NAT/SESSION/DELETE: 搜索NAT会话删除的日志。

    • 具体的私网IP地址(如 192.168.1.50)或公网IP地址。

步骤 3: 解读日志内容

一条典型的NAT创建日志在“unicom”格式下可能看起来像这样(字段顺序可能因版本略有不同):

<186>1 2024-05-27T10:30:25+08:00 10.1.1.1 NAT - - - [SYSLOG][NAT][SESSION][CREATE]; From inside; SrcIP: 192.168.1.50(55000); DstIP: 202.96.1.1(80); Proto: TCP; SrcIPAfterNAT: 202.96.1.200(1024).

​关键信息解析:​

  • [NAT][SESSION][CREATE]: 表示这是一条NAT会话创建日志。

  • From inside: 表示流量从inside区域而来。

  • SrcIP: 192.168.1.50(55000): 转换前的内网源IP和端口。

  • DstIP: 202.96.1.1(80): 目的公网IP和端口。

  • SrcIPAfterNAT: 202.96.1.200(1024): NAT转换后使用的公网IP和端口。


排错与总结

  1. 1.

    ​防火墙无日志发出​​:

    • 检查 info-center enable是否已配置。

    • 检查 info-center loghost配置的IP和端口是否正确。

    • 检查防火墙与日志审计系统之间的网络连通性(用pingtelnet 日志主机IP 514测试)。

    • 检查防火墙的源接口路由是否可达。

  2. 2.

    ​审计系统收不到日志​​:

    • 检查审计系统上的日志源设备地址是否正确添加。

    • 检查审计系统是否监听了UDP 514端口。

  3. 3.

    ​看不到NAT日志​​:

    • 确认在NAT策略上正确配置了 logging

    • 在防火墙上使用 display logbuffer命令查看本地缓冲区的日志,先确认防火墙本身是否生成了NAT日志。如果这里都没有,说明NAT策略或日志配置有问题。

按照以上步骤操作,您应该能在H3C日志审计系统上成功看到来自F10000防火墙的详细NAT会话日志记录。

暂无评论

粉丝:120人 关注:9人

参考:

NAT Flow日志主机组典型配置

使用版本

本举例是在F1090R8660P33版本上进行配置和验证的。

组网需求

如下图所示,通过在设备Device上配置Flow日志主机组功能,实现仅在日志主机Log Host1上对用户User的上网活动进行监控。

图-1 Flow日志主机组配置组网图

配置步骤

  1. 配置接口IP地址

根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<Device> system-view

[Device] interface loopback 0

[Device-LoopBack0] ip address 3.3.3.3 255.255.255.0

[Device-LoopBack0] quit

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 169.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

  1. 配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

请根据组网图中规划的信息,配置静态路由,本举例假设到Internet的下一跳IP地址为4.4.4.1,实际使用中请以具体组网情况为准,具体配置步骤如下。

[Device] ip route-static 0.0.0.0 0 4.4.4.1

  1. 配置接口加入安全域。

请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/4

[Device-security-zone-Untrust] quit

  1. 配置安全策略

配置名称为loglocalout的安全策略规则,使Device可以向日志主机发送日志信息报文,具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name loglocalout

[Device-security-policy-ip-1-loglocalout] source-zone local

[Device-security-policy-ip-1-loglocalout] destination-zone dmz

[Device-security-policy-ip-1-loglocalout] source-ip-host 3.3.3.3

[Device-security-policy-ip-1-loglocalout] destination-ip-host 1.1.1.2

[Device-security-policy-ip-1-loglocalout] destination-ip-host 2.2.2.2

[Device-security-policy-ip-1-loglocalout] action pass

[Device-security-policy-ip-1-loglocalout] quit

配置名称为trust-untrust的安全策略规则,使用户User可以正常访问Internet,具体配置步骤如下。

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-3-trust-untrust] source-zone trust

[Device-security-policy-ip-3-trust-untrust] destination-zone untrust

[Device-security-policy-ip-3-trust-untrust] source-ip-subnet 169.1.1.0 24

[Device-security-policy-ip-3-trust-untrust] action pass

[Device-security-policy-ip-3-trust-untrust] quit

[Device-security-policy-ip] quit

  1. 配置Flow日志

开启NAT新建、删除会话和活跃流的日志功能,具体配置步骤如下。

[Device] nat log enable

[Device] nat log flow-begin

[Device] nat log flow-end

[Device] nat log flow-active 10

配置Flow日志输出到日志主机,将3.3.3.3配置为承载Flow日志的UDP报文的源IP地址,具体配置步骤如下。

[Device] userlog flow export host 1.1.1.2 port 2000

[Device] userlog flow export host 2.2.2.2 port 2000

[Device] userlog flow export source-ip 3.3.3.3

配置用于匹配日志信息的ACL,匹配源IP169.1.1.2的报文,具体配置步骤如下。

[Device] acl basic 2000

[Device-acl-ipv4-basic-2000] rule permit source 169.1.1.2 0.0.0.0

[Device-acl-ipv4-basic-2000] quit

创建IPv4 Flow日志主机组并添加日志主机,具体配置步骤如下。

[Device] userlog host-group test acl number 2000

[Device-userlog-host-group-test] userlog host-group host flow 1.1.1.2

[Device-userlog-host-group-test] quit

验证配置结果

查看Flow日志主机组的配置信息。

[Device] display userlog host-group test

Userlog host-group test:

  ACL number: 2000

 

  Flow log host numbers: 1

 

    Log host 1:

      Host/port: 1.1.1.2/2000

 

用户User上网之后,查看Flow日志的统计信息。

[Device] display userlog export

Flow:

  Export flow log as UDP Packet.

  Version: 1.0

  Source ipv4 address: 3.3.3.3

  Log load balance function: Disabled

  Local time stamp: Disabled

  Number of log hosts: 2

 

  Log host 1:

    Host/Port: 1.1.1.2/2000

    Total logs/UDP packets exported: 13/13

  Log host 2:

    Host/Port: 2.2.2.2/2000

Total logs/UDP packets exported: 0/0

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明